septembre, 2008

Quelques jours à peine après que se soit conclue l’affaire opposant Citect et Kevin Finisterre, voici que le bugtraq publie une toute autre alerte, revendiquée par C4, et concernant le programme PCU400 d’ABB. Il s’agit là encore d’un programme destiné au pilotage d’infrastructures Scada, autrement dit des systèmes et des réseaux de transport (ferroviaires, gaz-électricité-pétrole, eau, routiers, télécoms) vitaux pour l’économie des états. Le bulletin d’alerte n’a été publié qu’une fois le correctif communiqué aux utilisateurs, comme il est d’usage dans les bulletins du bugtraq.

Deux alertes sur des logiciels Scada en moins de deux semaines, est-ce une épidémie ou une nouvelle mode de recherche systématique ? Peu probable, pensent certains experts. C’est là le signe que les programmes qui servent à piloter ces grandes infrastructures sont, à l’instar des autres logiciels, aussi susceptibles de comporter des erreurs. La seule différence est que l’omerta qui, jusqu’à présent, consistait à espérer protéger ces réseaux en taisant, voir en ignorant ces erreurs, pèse chaque jour un peu moins lourd. On est encore loin d’un modèle proche du principe de « divulgation responsable », mais une esquisse de dialogue semble s’instaurer entre chercheurs et industriels.

Après l’annonce de publication des correctifs bisannuels Cisco, voici venir le temps des analyses. De l’analyse devrait-on dire, car pour l’heure, seul le Sans s’est penché sur la dangerosité réelle des failles révélées. Sur 12 rustines émises, deux seulement sont qualifiées d’importantes, six de critiques, et quatre portent le label « patch now »… ce qui, dans le langage de l’Institut, signifie que l’exploitation distante est très probable, généralement aisée et toujours destructrice. Ces défauts de première importance concernent snmp, le firewall et un risque d’attaque fragmentée via sccp.

La lenteur avec laquelle les réseaux sans-fil 11n se déploient est, semble-t-il, la conséquence directe d´un coût d´équipement trop élevé et d´une trop grande complexité d´installation. C´est du moins ce que semble indiquer une étude conduite par Colubris et commentée par Tom Racca, son Vice-président Marketing.

Dans les grandes lignes, 54 % des sondés classent les coûts de déploiement en tête de leurs préoccupations, 35 % des sondés considèrent la compatibilité avec les infrastructures déjà en place comme l´obstacle majeur à un déploiement de 802.11n, et 20 % s´inquiètent de la difficulté technique du processus de migration.

La suite est bien plus intéressante : « A la question : « pensez-vous que vos contr�leurs WLAN actuels seraient capables de gérer le même nombre de points d´accès 802.11 que des points d´accès a/b ou g ? », 44 % ont répondu que oui. En réalité, la majorité des contr�leurs supporteront moins de points d´accès 802.11n. Dans un environnement 802.11n haute-capacité classique, la plupart des contr�leurs perdent 75 à 80 % de leurs capacités de montée en charge, un fait dont seuls 20 % des sondés étaient conscients. »

Lisons entre les lignes : du fait d´une bande passante occupée plus importante, le maillage et la répartition des points d´accès en 11n implique une densité de transmetteur plus faible, ce qui entraîne un accroissement du nombre d´AP -et des investissements conséquents- proportionnel à la perte de capacité constatée. Le tout devant prendre compte de la répartition en fréquence desdits transmetteurs, qui devient rapidement un casse-tête compte-tenu de l´étroitesse de la bande. Et ne parlons pas des tentatives encore plus coûteuses de migration dans la bande des 5 GHz, initialement destinée à voir le 11n fleurir comme pervenches un jour de grève des transports.

Péniblement,le patron marketing de Colubris tente de se rattraper en précisant que, par le plus heureux des hasards, les équipements fabriqués par son entreprise contournent avec élégance ces charybdes et scylla de la transmission Ethernet radio. Mais le mal est fait, la vérité technique, la dure réalité des lois de la physique ne peuvent être balayées d´un coup de catalogue : qui veut de la bande passante risque de périr de solitude, d´autant plus aisément qu´un réseau radio n´a rien à voir avec un réseau commuté. Parfois, la vérité sort de la bouche des hommes du marketing… mais le fait est assez rare pour qu´il mérite d´être salué.

� We’re giving every attendee a pre-beta copy of Windows 7� nous promet Mike Swanson sur son blog. L´évangéliste technique compte-t-il ainsi couper court aux fuites de plus en plus fréquentes qui apparaissent çà et là sur les réseaux d´échanges de fichiers ou aux captures d´écran qui se multiplient dans les colonnes de la presse spécialisée ? A moins que ce ne soit pour accroiître le niveau de fréquentation de la PDC (Professional Developers Conference) ? Swanson ne précise pas si la préversion en question sera celle qui figurera dans les downloads du MSDN.

A cette promesse s´ajoutent certains bruits de couloir, diffusés notamment par notre confrère Custom PC : Seven devrait suivre une cure d´amaigrissement drastique, et certaines de ses applications secondaires (Movie Maker, Windows Mail, Photo Gallery) pourraient bien disparaître du paquet. Ces programmes viendraient enrichir -comme c´est déjà le cas du client de messagerie et du programme de gestion des images- la gamme gratuitement diffusée des logiciels Windows Live. Il est très peu probable que cet effort puisse avoir la moindre conséquence sur la rapidité d´exécution du noyau. Internet Explorer, les « task bar », fonds d´écran animés et GDI gonflés aux stéro�des anabolisants qui font la joie initiale et les lamentations à posteriori des utilisateurs de Vista, ne devraient pas disparaître de Seven.

Technologizer , pour sa part, se tourne vers le passé et nous offre tout un plateau de madeleines avec ce superbe article intitulé The Thirteen Greatest Error Messages of All Time . Du Bsod à l’antique « Abort, Ignore, Retry » de PC-DOS, en passant par les Guru Meditation de l’Amiga, Harry McCracken nous emmène au pays de la nostalgie. Une époque où les machines souffraient autant que leurs utilisateurs, où la sauvegarde de fichier à période régulière, entre deux plantages, devenait une seconde nature. Quelques erreurs entachent toutefois l’article de notre confrère. Et notamment à propos des « coderror pc », signaux sonores du POST (power-on self test) des PC période Boca Raton. Une panne d’adaptateur graphique n’est pas signalée par une brève et deux longues, mais par une longue et deux brèves, ainsi la lettre « D » en morse. D comme Display, bien entendu.

Il manque également quelques grandes insultes que seuls les plus anciens ont pu craindre. « Bdos error on A » sous CP/M, « Divide by zero error » sur les Xenix SCO portant encore l’étiquette Microsoft, ou bien le superbe « All purpose obscure error message » des Vitorelli Inutilities (aka « vi »). Puis vint Windows, avec ses litanies incomparables, et principalement ses nombreuses erreurs réseau s’achevant par le plus frustrant des conseils « Contactez votre administrateur ».

Encore une affaire de « papy hacking » américain avec le méfait diabolique de cet ancien fonctionnaire fédéral à la retraite, Lawrence Yontz, qui était coupable, nous apprend un rapport de police, d’avoir fouillé dans les fichiers liés aux passeports afin d’obtenir des détails sur la vie privée de personnes célèbres. Là encore, nos confrères de Gala doivent bouillir. Sportifs de haut niveau, actrices renommées, personnalités du monde politique, Yontz savourait les potins patiemment collectés par les fonctionnaires des services secrets et autres employés de l’immigration. Pourtant, si l’intéressé avait su que l’on pouvait, en quelques secondes de google hacking, retrouver jusqu’aux dons que ces mêmes célébrités versent à leurs partis politiques préférés…

Fort heureusement, ce genre de chose ne peut en aucun cas arriver .

Si retrouver la trace du susnommé Bruce Mengler sur Linkedin n’est pas franchement difficile, il n’est guère plus compliqué d’utiliser l’alibi Facebook pour infecter la machine d’un ado pré-pubère. D’autant plus simple que ledit Facebook a, depuis sa création, habitué ses abonnés à recevoir des courriels à la moindre modification du profil d’une « connaissance de réseau ». Un dressage quasi pavlovien que les black hat ont rapidement mis à profit, nous apprend Websense. « Votre correspondant vient d’ajouter une photographie à son profil, cliquez ici pour en découvrir la splendeur » incite cet email aussi faux que trojanisé.

Bruce Mengler aimait les fichiers de millionnaires qui aimaient les belles voitures et les steaks saignants. Cet informaticien d’une soixantaine d’année, nous apprend Softpedia, a voulu faire chanter le concessionnaire Maserati de sa petite bourgade (San Diego), en le menaçant de rendre public le fichier des clients potentiels invités à venir faire un brin de conduite d’essais. Depuis quelques temps en effet, ce vendeur d’automobiles proposait à un panel trié sur le volet, un galop d’essais moyennant le remplissage d’un formulaire nominatif détaillé. Comme le plaisir d’entendre rugir un biturbo 24 soupapes suffit rarement à ce genre d’acheteur, le marchand de voitures accompagnait son invitation d’un repas gratuit chez Omaha Steak. Etablissement réputé où les filets peuvent atteindre 130 euros pièce, où les sommeliers français affichent un accent italien et débouchent un Cheval Blanc avec l’énergie d’un Guillermo Vilas sur un service de Connors. On a franchement beaucoup de mal à plaindre ce petit concessionnaire de province et l’on frémit peu devant l’ampleur de ce « vol d’identité du siècle ». Graham Clueley, de Sophos, y voit pourtant le signe d’un grave danger. « There is a clear warning here to all companies that they need to properly secure their public websites ». Vision dantesque que de retrouver la vie privée du gotha sur Internet. Car si les pirates dévoilent tout, gratuitement, cela pourrait causer un tort considérables à nos confrères de la presse people. Et çà, c’est un grave problème de société.

Une petite note d’optimisme émise par nos confrères de Security News, qui commentent une étude du cabinet Foote Partners sur les salaires des informaticiens : aux Etats Unis, dans un climat de délabrement des émoluments des ingénieurs certifiés qui , dans les secteurs IT suivent une érosion de 2,5% sur le dernier semestre et 3,5% sur l’année, les payes des diplômés « sécu » connaissent, en revanche, une très nette réévaluation. Un GSE (Giac Security Expert), peut voir son salaire augmenter de plus de 36% l’an. La tendance moyenne, plus modeste, reste tout de même à la hausse : 0,4% sur le semestre, +2% sur l’année écoulée toutes certifications confondues. Plus précisément, les indices d’augmentation selon les qualifications les plus connues s’établissent comme suit :
GSE, CISM , +27.3%
Certified Hacking Forensics Investigator (CHFI) + 14.3%
GIAC Certified Intrusion Analyst (GCIA) + 11.1%
GIAC Systems and Network Auditor (GSNA) + 11.1%
Cisco Certified Security Professional (CCSP) + 9.1%
CISSP + 8.3%
Cette inflation n’est, explique l’étude, que la conséquence de l’accroissement des investissements dans le domaine de la sécurité liés aux obligations de conformité à Sarbanes Oxley. Un accroissement qui s’élève en moyenne à 10% des investissements IT, et dont il faut bien assurer l’installation et la supervision. En outre, la médiatisation des grosses affaires d’intrusion et de vols d’identités –TJX notamment- ont stigmatisé les Directions Générales.

Dans une transaction estimée à 465 M$ en cash, McAfee a annoncé son intention d’achat de Secure Computing. Une opération de croissance externe devant en toute logique renforcer la branche « sécurité réseaux » de McAfee. Secure Computing, de son côté, avait absorbé CipherTrust (antiphishing, antispam, filtrage email) pour un montant de 274 M$. La période s’étendant du début 2007 au début 2008 a été marquée par une véritable épidémie de rachats par les plus importants acteurs du marché –McAfee, Symantec, ISS, Google, Microsoft…-, particulièrement sur le secteur du DLP (prévention des fuites d’information).